SSHを1つのインターフェースに制限する

着信SSH接続要求を1つのインターフェースのみに制限するにはどうすればよいですか？Ubuntu Server 10.04 LSTを使用しています。

サーバーをホームネットワークへのゲートウェイとして使用しているので、SSHへのアクセスを1つのインターフェイスのみに制限したいと思います。1つのインターフェイスはDSLモデム/ルーターに接続され、もう1つのインターフェイスはホームネットワークに接続されます。ホームネットワーク内のSSHフォームへのアクセスのみを許可します。

この場合、SSHを1つのIPに制限するだけで十分ですか？または、1つのインターフェースにロックする必要がありますか？

— ワウパトリック
ソース

「1つのインターフェースのみ」の意味をより明確にできますか？マシンに複数のIPアドレスがあり、SSHが1つのIPアドレスでのみリッスンすることを意味しますか？または、他のインターフェースのSSHポートへのインバウンドパケットをドロップすることを意味しますか？（あなたのリクエストは非常に珍しく、あなたが間違った質問をしている可能性があります。）

— David Schwartz

@DavidSchwartz SSHアクセスを1つのIPに制限するだけで十分かどうかわからなかったため、インターフェースの制限を求めました。私はまた、私の質問をより詳細に補足しました。

— wowpatrick 2012年

回答:

次のファイルで：

 /etc/ssh/sshd_config

次のような行が表示されます。

#ListenAddress 0.0.0.0

これはコメント化されていますが、デフォルトであり、ssh要求のすべてのIPアドレスをリストします。これを変更して、接続を受け入れたいインターフェースのIPアドレスにし、そのIPアドレスのみがssh接続を受け入れるようにすることができます。

ListenAddress 111.222.111.222

変更したら、sshdサービスを再起動します。

— ポール
ソース

これにより、SSHが動作できるインターフェースが制限されることはなく、宛先IPアドレスのみが制限されます。（それはOPが本当に望んでいたことかもしれませんが、それはOPが要求したものではありません。）

— David Schwartz

@DavidSchwartzありがとう-明確にできますか？IPアドレスがインターフェースにバインドされている場合、別のインターフェースが何らかの方法でこの設定の接続を受け入れることができます（転送が有効になっている場合は、それが機能する可能性があります）。

— Paul

@DavidSchwartzああ、私は上のコメントを見ます。

— Paul

転送とは、あるインターフェイスで受信され、別のインターフェイスから送信される必要があるパケットのみを指します。宛先アドレスが割り当てられているインターフェイス以外のインターフェイスで受信したパケットを受け入れる必要はありません。Linuxは、IPアドレスがインターフェイスではなくシステムに属するモデルを使用します。すべてのインターフェイスが単一のホストに接続します。

— David Schwartz

ファイアウォールをインストールして、1つのインターフェースでのみSSHを許可してください。私の好みは、Ubuntuにインストール可能なパッケージであるShorewallです。開始する前に構成する必要がありますが、十分に文書化されており、いくつかの構成例が付属しています。

私は、必要なポートのみを開いて、ほとんど閉じたファイアウォールを使用しています。SSHが許可されているインターフェースを制限するだけの場合は、他のインターフェースのSSHに対してREJECTまたはDROPアクションを使用できます。ファイアウォールを構築している場合は、少なくともインターネットに面したインターフェースへのアクセスを制限することをお勧めします。

— BillThor
ソース